Wie verwalte ich eine Website professionell?

19

Meine Frau hat ein Unternehmen gegründet und die Website ist ein wichtiger Weg, um potenzielle Kunden zu erreichen. Ich bin ein Softwareentwickler, also kümmere ich mich natürlich um die technischen Dinge. Ich habe einen Webhost eingerichtet und WordPress hochgeladen und konfiguriert (was zusammen mit einem anständigen Thema gut zu unserer Rechnung passt). Meine Frau hat einige HTML- und CSS-Kenntnisse, sodass sie die Website selbst anpassen kann.

Jetzt möchte ich dieses Zeug professionalisieren. Wenn irgendetwas Dummes passiert (versehentlich eine Datei durcheinander gebracht, ein Fehler im WordPress-Update gefunden, die Site gehackt), verlieren wir die gesamte Site.

Was brauche ich, um die Site zu verwalten? Wenn ich dieses Thema google, finde ich nur FTP-Tutorials, was nicht ganz dem Informationsstand entspricht, den ich anstrebe. Ich habe gedacht:

  • Backup von Dateien + Datenbank (Ich habe diese bereits, aber ich habe nicht getestet, ob die Wiederherstellung funktioniert)
  • eine lokale Testumgebung zum Bearbeiten des Themas und Testen von WordPress-Updates
  • einen Testplan, der einige zu testende Dinge enthält, bevor die Testumgebung auf die Live-Site hochgeladen wird
  • Versionierung - sollte etwas schief gehen, sollten wir in der Lage sein, zu einer früheren Version zu wechseln.
  • Betriebszeitüberwachung - Wenn die Website ausfällt, muss ich sie nicht von Kunden hören

Vorgeschlagen von bybe , hauptsächlich sicherheitsrelevant:

  • benutze einen VPS. Dies schützt mich vor Angriffen auf andere gemeinsam genutzte Hosting-Konten, eröffnet jedoch eine weitere Dose Würmer, da ich den Server selbst schützen muss .
  • Schreibberechtigungen für alle Dateien entfernen, die nicht beschreibbar sein müssen (Vorlagendateien, .htaccess)
  • Abonnieren Sie die CMS-Mailingliste (in diesem Fall Wordpress) und aktualisieren Sie diese, sobald neue Versionen verfügbar sind
  • Minimieren Sie die Anzahl der CMS-Plugins - sie haben ihre eigenen Schwachstellen
  • Entfernen Sie das Standard-Administratorkonto des CMS
  • Versetzen Sie die Website beim Ändern in den Wartungsmodus. Es ermöglicht ein konsistentes Backup und ist für Besucher angenehmer.

Fehlt etwas in dieser Liste?

Frank Kusters
quelle
Wenn das Geschäft Ihrer Frau keinen Grund hat, gezielt vorzugehen, scheinen Sie ein wenig über Bord zu gehen. Diese Frage ist vergleichbar mit "Wie bleibe ich in der Öffentlichkeit sicher?" Sie müssen die Bedrohung messen, bevor Sie einen Plan zur Bewältigung dieser Bedrohung erstellen. Sie könnten mit einem geladenen AK-47 außerhalb des Rechenzentrums campen, falls ein Einbrecher auftaucht, um einige Server zu stehlen, aber das wäre einfach lächerlich. So würde das meiste davon.
Das Geschäft meiner Frau hat keinen bestimmten Grund, als Zielgruppe ausgewählt zu werden, aber ihre Website ist für jeden Hacker von Interesse. Werfen Sie einen Blick auf diese . Die oben genannten Schritte sind nicht schwer und kosten kein Geld, machen es aber Hackern viel schwerer.
Frank Kusters
Bitte wählen Sie einen besseren Titel, dies ist zu allgemein und ich wollte abstimmen, wenn ich Ihre Frage nicht gelesen hätte.
Omne

Antworten:

11

Gute Fragen, Sicherheit ist Ihr Hauptanliegen und dasselbe gilt für alle, die ihre eigenen Websites verwalten möchten. WordPress ist nicht das sicherste Content-Management-System der Welt. Es kann jedoch mit gutem Hosting und guten Kenntnissen darüber, was zu sichern und sicherzustellen ist, sicher gemacht werden.

Hosting

Die sicherste Art, Ihre Website zu hosten, ist ein VPS oder ein dedizierter Server, vorausgesetzt, Sie verfügen über eine gute Sicherheit im Betriebssystem. Das Problem mit Shared Hosting ist, dass sich Malware von einem Konto auf ein anderes ausbreiten kann, obwohl sie sich in Gefängnissen befinden. Diese Hacker finden sich zurecht und infizieren mehrere Websites. GoDaddy zum Beispiel wurde im letzten Monat gehackt und hat 100.000 Websites mit grauen Backlink-Inserts gehackt.

Nach dem, was ich gelesen habe, möchten Sie mit einem VPS arbeiten, aber wichtig ist, dass Sie Ihre Backups verwalten. Was Sie brauchen, ist ein VPS mit CentOS6 mit Cpanel. Sie müssen zusätzlich für das Cpanel bezahlen, aber dies macht das Einrichten von Websites und das Sichern der Datenbank sowie des Dateisystems automatisiert und sendet Ihnen täglich E-Mails, wenn die Sicherung aus dem einen oder anderen Grund abgeschlossen wurde oder fehlgeschlagen ist.

Jetzt weiß ich nicht, wie gut Sie Linux beherrschen, aber VPS kann oft andere Sicherheitsprobleme mit sich bringen, wenn Sie nicht stark in dieser Abteilung sind. Glücklicherweise gibt es heutzutage Dinge wie Google und Sie können so ziemlich lernen, wie Sie Ihr VPS mit Leichtigkeit sichern können. Das Grundlegende an Ihrer VPS-Box ist, sicherzustellen, dass Sie einen SSL-Schlüssel verwenden, den Sie auf Ihrem Computer haben. Das bedeutet, dass sie ohne diese Zertifizierung nicht auf Ihr System zugreifen können, auch wenn sie das Kennwort kennen. Um zu verhindern, dass Benutzer das Passwort erraten, können Sie den ssh-Port jederzeit ändern.

Es gibt viele Möglichkeiten, um den Zugriff auf Ihre Box zu verhindern, und Google leistet dies am besten. Es gibt nur viel zu viele, um sie aufzulisten.

WordPress

Das Sichern von Wordpress ist ziemlich einfach. Mein wichtigster Rat ist, die Vorlagendateien in der zu sichern /wp-content/themes directory. Da Ihre Frau die Vorlagendateien nicht bearbeiten wird, möchten Sie diese ändern, damit sie nicht direkt von WordPress aus beschrieben werden können. Es gibt eine Einstellung, in der configuration.phpSie festlegen können, aber ernsthaft nur CHMOD sie mit FTP oder wenn Sie gehen und einen VPS verwenden, ändern Sie den Besitz dieser Dateien von www-datazu root. Auf diese Weise können sie nicht von WordPress oder einer anderen auf dem Server ausgeführten Software geändert werden. Die meisten Injektionen, basierend auf Skripten, greifen die index.phpDateien der Vorlagen an und fügen die Malware hinzu. Darüber hinaus gibt es ein paar .htaccessRedirect-Attacken, so dass Sie die .htaccessDatei nach dem Festlegen der gewünschten Einstellungen wieder auf nicht beschreibbar setzen oder von www-data zu root wechseln können. Auch derconfiguration.php Sie sollten "root" oder "chmod" festlegen, damit es nicht von Gästen und Außenstehenden gelesen werden kann.

Unterschätzen Sie nicht die Leistung des CHMOD. Je mehr Dateien Sie überschreiben können, desto besser. Vermeiden Sie unnötige WordPress-Plugins. Während einige großartig sind, fragen Sie sich, was Sie brauchen. Je mehr Sie installiert haben, desto mehr müssen Ihre Hacker damit spielen. Vermeiden Sie daher Plugins, so oft Sie können, und machen Sie die Site nicht überlastet.

WordPress-Updates wöchentlich bis monatlich, Update so schnell wie möglich - Es gibt einen Grund, warum es so viele Updates gibt, und eines davon sind Sicherheitsprobleme und Lücken, die es gefunden hat.

Darüber hinaus verfügen Sie standardmäßig über ein "admin" -Kennwortkonto. Nehmen Sie einen anderen Administrator wie Ihren Benutzernamen zusammen mit einem guten Kennwort vor. Löschen Sie dann das Administratorkonto.

Versuchsplan

Sie können Ihre Site jederzeit imitieren, dh einen Klon erstellen. Mit cpanel können Sie eine Subdomain test.subdomain.com einrichten und dasselbe WordPress zusammen mit einem Klon der Datenbank ausführen lassen.

Persönlich, wenn Sie keine großen Erweiterungen für WordPress verwenden, können Sie die Site einfach offline schalten, dh die Wartung läuft. und aktualisieren Sie dann das System. Wenn etwas schief geht, haben Sie die automatische Sicherung oder eine Sicherung, die Sie während der Wartung durchgeführt haben. Auf diese Weise bist du auf jeden Fall sicher.

Immer am besten im Wartungsmodus aktualisieren, während einige Updates nicht fragen, andere tun. Am besten offline, damit Sie einen guten Snap-Shop haben.

Versionierung Mit jedem täglichen Backup haben Sie ein Datum, innerhalb der GZ / Zip können Sie die Konfigurationsdatei mit den Versionsnummern von WordPress lesen.

Good Vps- Uptime- Systeme überwachen dies für Sie und führen bei Bedarf einen Neustart durch. Da Sie den Server betreiben, können Sie jederzeit einen Cron-Job installieren, der Ihnen eine E-Mail sendet, wenn der Server ausfällt. Ein guter Server fällt nie wirklich aus. Wählen Sie ein gutes VPS-Unternehmen aus, das in einer Cloud mit redundanten Netzteilen und Hardware arbeitet, z. B. Rackspace oder Amazon Work in einer Cloud.

Testversion Klonen Sie die Site erneut einfach auf eine Unterdomäne, die ein .htaccess-Kennwort verwendet.

Ich hoffe, dies hilft, und wenn Sie weitere Fragen haben, wenden Sie sich bitte.

Simon Hayter
quelle
1
Hier gibt es einige solide Ratschläge. Ich werde es der Liste in meiner Frage hinzufügen.
Frank Kusters
Aus Gründen der Zuverlässigkeit habe ich einen Webhost ausgewählt, der auf einem Cluster ausgeführt wird. Aber Fehlkonfigurationen werden von ihrer Uptime-Software nicht erkannt - darum muss ich mich selbst kümmern.
Frank Kusters
2

Sie werden es auf jeden Fall einfach halten wollen. Aber letztendlich kommt es darauf an, für welche Art von Website Sie sich entscheiden (können die Leute etwas kaufen?).

Wenn Sie eine einfache WordPress-Site haben, möchten Sie Sicherungen erstellen (oder sicherstellen, dass die Kopie auf dem öffentlichen Server nicht die einzige Kopie ist; sichern Sie nicht die statischen Dateien vom Server, sondern sichern Sie die Datenbank jede Woche). Bei größeren Sites oder wenn Sie Benutzerdaten in der Datenbank speichern, sichern Sie diese häufiger.

Für größere E-Commerce-Websites ist es möglicherweise eine gute Idee, in ein SSL-Zertifikat zu investieren, um das Vertrauen der Besucher zu gewinnen und die Daten zu verschlüsseln Entwicklungsumgebung).

Erwägen Sie auf jeden Fall, einen VPS oder sogar einen dedizierten Server zu mieten, wenn Sie sich mit Sicherheit befassen. Es bietet viel mehr Flexibilität, aber mit der Kraft geht auch Verantwortung einher (und auch das Potenzial, Dinge durcheinander zu bringen). Sie könnten wirklich ausgefallen sein und synchronisierte Datenbanken über Remoteserver hinweg einrichten, rsyncdie Daten nach einem Zeitplan sichern usw. Aber halten Sie es auch hier einfach.

Für eine Testumgebung keine schlechte Idee und wahrscheinlich eine gute Sache, wenn Sie das Design und den Inhalt häufig ändern, aber sicherstellen möchten, dass die WP-Versionen und -Einstellungen identisch sind. Sehr wichtig.

Schließlich halten Sie es einfach. Menschliche Fehler beim Löschen / Durcheinanderbringen von Dateien sind die Hauptursache für Datenverlust. Hacker sind nicht.

ionFish
quelle
Die Website enthält hauptsächlich ein Portfolio und ein Bestellformular. Wenn es nicht funktioniert, können die Kunden das Geschäft meiner Frau nicht finden. Es ist keine 'größere E-Commerce-Site' - wenn es so wäre, würde ich das nicht in meiner Freizeit tun. VPS gibt mir weit mehr Macht als nötig - Shared Hosting ist in Ordnung. Die Zuverlässigkeit der Website wird vom Webhost sichergestellt. Danke für den Hinweis.
Frank Kusters
2

Ich bin selbst ein neuer Webmaster, also weit davon entfernt, ein Experte zu sein. Was ich Ihnen jedoch sagen kann, sind meine eigenen Erfahrungen in den letzten Monaten. Ein kleiner Hintergrund: Ich bin ein Windows-Typ mit wenig Linux / Apache-Erfahrung, PHP / HTML / CSS-Kenntnissen und guten Grundkenntnissen in WordPress (WP).

Ich habe mit XAMPP eine lokale Testumgebung eingerichtet und viel Zeit damit verbracht, WP zu installieren, zu konfigurieren und zu löschen. Dann habe ich ein paar Tage damit verbracht, die Entwicklung von WP-Plugins zu lernen. Habe alles lokal gemacht und ein kleines Plugin erstellt. Es lief einwandfrei, wurde live hochgeladen und musste einige Zeit damit verbringen, herauszufinden, warum es auf meiner Live-Site nicht funktionierte.

Ich erinnere mich nicht an die genauen Ursachen, aber es läuft darauf hinaus, dass mein Host andere Einstellungen / Berechtigungen usw. hat als mein lokaler Server. Ich hätte viel mehr Zeit damit verbringen können, mich eingehend mit der Serververwaltung zu befassen und zu versuchen, mich an meine lokalen Umgebungen anzupassen, entschied mich jedoch für einen einfacheren Weg. Ich richte eine Live-Testdomäne ein - tatsächlich mehrere.

Mein Hosting-Plan ist ein typischer gemeinsamer Plan. Tatsächlich ist es das billigste, das mein Host anbietet. Es erlaubt unbegrenzte Domain-Addons, erlaubt aber nicht, dass diese Domains irgendwo anders als auf die Wurzel verweisen. Also fand ich heraus, wie man .htaccess verwendet, um verschiedene Domänen dynamisch in verschiedene Verzeichnisse umzuleiten, einige einfache Sachen zum Ausschneiden und Einfügen. Dann habe ich über CU.CC ein paar kostenlose Subdomains bekommen. Ich würde sie zwar nicht für echte Websites verwenden, da sie keine echten Domains sind, dh, Sie besitzen sie nicht, aber sie eignen sich hervorragend für Live-Tests.

Ich verwende ein Werbegeschenk als Klon meiner Live-Site. Wenn ich also ein Plugin oder Theme installieren möchte, kann ich es gründlich testen, bevor ich es live sende. Da sich meine Testdomain auf demselben Server befindet, weiß ich genau, wie meine Live-Site angezeigt wird. Ich benutze ein anderes Freebie als allgemeines WP-Testbed. Und noch eine für allgemeine Webdev-Tests.

Zum Klonen meiner Site verwende ich ein kostenloses WP-Plugin namens "Duplicator". Es sichert die Dateien und die Datenbank einer Site. Außerdem werden alle erforderlichen WP-Backend-Aufgaben erledigt, wenn Sie eine Wiederherstellung in einer anderen Domäne durchführen möchten. Dies funktioniert hervorragend für mein WP-Testbed, da ich WP nur einmal installieren, es mit meinen Dummy-Inhalten und Benutzern laden und meine Admin-Einstellungen wie Permalinks, Zeitzone usw. einrichten musste. Jetzt kann ich WP hacken, was ich will, und dann das Backup wiederherstellen werde, zu meiner jungfräulichen noch so konfigurierten-wie-ich-will-wp installieren.

akTiert
quelle
Ich habe keine wirklichen Probleme beim Einrichten einer Testumgebung. Bevor die Site live gesendet wurde, wurde alles in einer VirtualBox mit einer LAMP-Installation erstellt und getestet. Duplicator habe ich bereits gefunden. Ich sehe mehr Probleme damit, die Testumgebung und die Live-Site synchron zu halten.
Frank Kusters
Ich kenne keine Möglichkeit zum Synchronisieren. Ich benutze Dreamweaver, von dem ich glaube, dass es die Fähigkeit hat, aber ich habe es nicht wirklich untersucht. Mit Duplicator benötige ich nur etwa 3 Minuten, um meine kleine Live-Site - ~ 35 MB - zu sichern und sie auf meinen Entwickler zu kopieren / zu installieren. Vielleicht noch 1-2 Minuten, wenn ich eine neue Datenbank einrichten muss, anstatt nur eine vorhandene zu überschreiben. Zugegeben, diese geringe Zeit ist darauf zurückzuführen, dass ich es unzählige Male beim Testen getan habe und meine Website klein ist. Wenn Ihre Site erheblich größer ist, nimmt natürlich die Zeit zu, die Duplicator für die Sicherung benötigt.
AkTed
1

Wenn Sie befürchten, dass Ihre Website gehackt oder von Malware beeinträchtigt wird, empfehle ich die http://sucuri.net/

Es ist zwar eine bezahlte, aber es wird sich sehr effizient um die Sicherheit Ihrer Website kümmern.

Abgesehen davon ist es von Ihrer Seite ratsam, Vorsichtsmaßnahmen zu treffen. Holen Sie sich jede Woche die Datenbanksicherung. Aktivieren Sie die Option zum Sichern der Datenbank in Ihrem Hosting und Sie erhalten die Datenbanksicherung regelmäßig in Ihrer E-Mail.

Sidh
quelle
Ich bin nicht wirklich besorgt, gehackt zu werden. In diesem Fall stellen wir einfach ein Backup wieder her.
Frank Kusters
@spaceknarf Aber wenn die Angreifer den ISP gehackt haben und Skripte ausführen, die auf WordPress abzielen, oder wenn ein Plugin / Theme einen Fehler aufweist, werden Sie immer wieder gehackt. Das Zurücksetzen auf einen bekannten sauberen Zustand wird nach einer Weile anstrengend. Besser, proaktiv zu schützen und zu verhärten.
JCL1178
1

Die anderen Antworten enthalten viele gute Ratschläge, setzen jedoch mehr oder weniger Fachwissen in Bezug auf Serverwartung und WordPress-Kenntnisse voraus, das Sie a) möglicherweise nicht haben und b) möglicherweise nicht die Zeit haben, sich dem eigentlichen Lernen zu widmen.

Angenommen, Sie zahlen bereits für das Hosting und erwägen ein Upgrade auf einen VPS. Ich würde Ihnen dringend empfehlen, zu einem ISP zu wechseln, der auf WordPress-Hosting spezialisiert ist und Malware-Schutz und -Wiederherstellung sowie Sicherheitsprüfungen für Plugins, Backups und Upgrades des Core für Sie bietet. Zwei, die ich jetzt für Kunden benutze, sind Pagely und WP Engine . Ein schöner Bonus ist, dass diese ISPs auch optimiert sind, um eine Geschwindigkeitssteigerung zu erzielen, die WordPress manchmal benötigt. WP Engine enthält auch eine Staging-Umgebung zum Testen ...

Wenn Sie Managed Hosting nicht verwenden möchten, sollten Sie VaultPress unbedingt als primären Sicherungs- und Sicherheitsplan abonnieren . Das Premium-Service-Level übernimmt beides (der reguläre Service besteht nur aus Backup / Restore) und die Sicherheit allein ist die Gebühr wert. VaultPress ist ziemlich teuer und möglicherweise teurer als das oben empfohlene verwaltete Hosting.

Der dritte Weg besteht darin, die Sicherheit aus Ihren Erfahrungen, Plugins und der Möglichkeit, auf Google zu suchen, und Backups / Versionsverwaltung auf dieselbe Weise zusammenzustellen. Dies setzt wiederum voraus, dass Sie über Kenntnisse in Bezug auf Serverkonfiguration und WordPress verfügen und dass die Wiederherstellung nach einem WordPress-Hack eine miserable Erfahrung sein kann. Dies gilt auch dann, wenn der Angreifer Skripts in der Shell ausführt.

JCL1178
quelle